Добрый вечер,
Помогите пожалуйста, похоже на майнер в Стиме.
Спасибо.
Printable View
Добрый вечер,
Помогите пожалуйста, похоже на майнер в Стиме.
Спасибо.
Уважаемый(ая) [B]XUTPUU[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\ProgramData\Network\DataTM.cmd', '');
QuarantineFile('C:\ProgramData\Network\Steam.exe', '');
QuarantineFileF('c:\programdata\network', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\ProgramData\Network\DataTM.cmd', '64');
DeleteFile('C:\ProgramData\Network\Steam.exe', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGetPro', 'x32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGetPro', 'x64');
DeleteSchedulerTask('MediaGetProUpdaterV5_t1725120844817');
DeleteSchedulerTask('MediaGetProUpdaterV6_t1725120846918');
DeleteSchedulerTask('Microsoft\Windows\Location\ActiveSync');
DeleteSchedulerTask('Microsoft\Windows\Location\ActiveSyncRun');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем [U][B]в личном сообщении[/B][/U].
Деинсталлируйте WebAdvisor от McAfee.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Спасибо за помощь, логи FRST приложены
Что за программа, знаете?[QUOTE]植物大战僵尸杂交版 (HKLM-x32\...\pvzHE) (Version: 2.3.7.0 - 潜艇伟伟迷)[/QUOTE]
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CloseProcesses:
Systemrestore: On
CreateRestorePoint:
Task: {A598DC4D-7CA0-4D68-BB39-0473354C4E4D} - System32\Tasks\ICTorrent2UpdaterV1_t1725120849000 => C:\Program Files\SteamUpdate\SteamUpdate.exe [146320896 2024-08-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {3B7DA3B3-A1DC-4FC1-B48C-4E6E0F007B74} - System32\Tasks\ICTorrent2UpdaterV2_t1725120851179 => C:\Program Files\SteamUpdate\SteamUpdate.exe [146320896 2024-08-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {BFE46FF3-690D-4515-87B6-A70BF116450D} - System32\Tasks\Microsoft\Windows\Location\ActiveSyncUpdate => C:\ProgramData\Steam\SteamUpdate.exe (Нет файла)
Task: {933A2F34-D984-41B8-8F11-C4BF7A7C1565} - System32\Tasks\Microsoft\Windows\Location\ActiveSyncBackup => C:\ProgramData\Adobe\ARM\Reader_19.010.20098\ReaderDCRestore.exe [1082730 2023-02-11] () [Файл не подписан]
Virusscan: C:\ProgramData\LightEvents\FormagRing\dhsmHManBASE.dll
Virusscan: C:\ProgramData\AAEHJEGIID.exe
Virusscan: C:\ProgramData\KEHCAFHIJE.exe
2024-09-11 15:59 - 2024-09-11 15:59 - 000328744 _____ (walkouts dashboard) C:\ProgramData\AAEHJEGIID.exe
2024-09-11 15:59 - 2024-09-11 15:59 - 000289832 _____ (walkouts dashboard) C:\ProgramData\KEHCAFHIJE.exe
2024-08-26 13:05 - 2024-09-20 10:28 - 000000264 _____ () C:\Users\GermanS\MediaGetPro.dat
C:\ProgramData\Adobe\ARM\Reader_19.010.20098
C:\Program Files\SteamUpdate
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
C:\Users\GermanS\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
2025-01-27 17:48 - 2025-01-27 17:48 - 000000000 ____D C:\Windows\Tasks\360Disabled
Folder: C:\Users\GermanS\AppData\Roaming\ExHack
Folder: C:\ProgramData\Steam
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1697.6 - AVAST Software) Hidden
HKU\S-1-5-21-3700809513-586940593-3590002704-1002\Software\Classes\regfile: <==== ВНИМАНИЕ
HKU\S-1-5-21-3700809513-586940593-3590002704-1002\Software\Classes\.reg: => <==== ВНИМАНИЕ
HKU\S-1-5-21-3700809513-586940593-3590002704-1002\Software\Classes\.bat: => <==== ВНИМАНИЕ
HKU\S-1-5-21-3700809513-586940593-3590002704-1002\Software\Classes\.cmd: => <==== ВНИМАНИЕ
HKU\S-1-5-21-3700809513-586940593-3590002704-1002\...\StartupApproved\Run: => "MediaGet2"
HKU\S-1-5-21-3700809513-586940593-3590002704-1002\...\StartupApproved\Run: => "MediaGetPro"
FirewallRules: [{074A6ED0-1D43-480C-A17C-11CBEE83F17D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [{909ADAC6-4EA5-462F-81EE-73B7F6453062}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [{08B95CE8-C91A-4E16-812E-3CD51F91D381}] => (Allow) C:\Users\GermanS\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{3E183B53-DB44-41CD-9FA1-AAD68DAC0785}] => (Allow) C:\Users\GermanS\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{37B0B8C6-DE9D-42BF-B0D7-0F87DC7969E7}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{D18A6E3A-2E93-4E63-B846-DB40EE65C3F7}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [TCP Query User{3AEB1C12-F928-43D4-8F69-4225570FE918}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [UDP Query User{23CAA8FF-823C-4EC6-BB87-6A4D90BE6FD1}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [{8E8B71FB-DCEF-42E8-9B4A-7F58904A7B4D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{F27261D9-51AE-4553-91DC-EA83B194323F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [TCP Query User{C3E4E7F5-0E82-40BA-9EDE-F2FF31B8AB1F}C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{9CAE532C-4200-43C9-990D-7F7BE71BD92F}C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [{96E78A69-6D21-41BE-B25D-96465A278574}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{1F311A59-F685-47E8-B798-BE0C569C17F2}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [TCP Query User{97A9413E-602C-4FF0-8DEE-246E9391F245}C:\program files (x86)\mindustry\mindustry.exe] => (Block) C:\program files (x86)\mindustry\mindustry.exe => Нет файла
FirewallRules: [UDP Query User{EC55D301-858C-4D51-874F-7AA9E3C9A593}C:\program files (x86)\mindustry\mindustry.exe] => (Block) C:\program files (x86)\mindustry\mindustry.exe => Нет файла
FirewallRules: [{BF76EB85-D291-4A7E-97A9-C819C11E499A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Нет файла
FirewallRules: [{DC9563F6-02F8-4128-BCEA-34EF8C57FE2F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Нет файла
FirewallRules: [{85A3944B-80CD-4F80-A43E-7A4DD5D7881E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64dxvk\RRRE64.exe => Нет файла
FirewallRules: [{F73F7BC3-1543-4B1F-B9E6-87F2954B78A3}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64dxvk\RRRE64.exe => Нет файла
FirewallRules: [{D2329574-A450-47A6-83EB-5719F83BFB93}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\RRRE.exe => Нет файла
FirewallRules: [{DA0D2A5B-9810-439E-AF30-61A52BA06FDE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\RRRE.exe => Нет файла
FirewallRules: [TCP Query User{EBC3C174-6CDF-4E58-99A7-1381DA5AB487}C:\users\germans\appdata\local\discord\app-1.0.9168\discord.exe] => (Allow) C:\users\germans\appdata\local\discord\app-1.0.9168\discord.exe => Нет файла
FirewallRules: [UDP Query User{35862AE9-A883-4AA7-BCD7-AEDD59B7340E}C:\users\germans\appdata\local\discord\app-1.0.9168\discord.exe] => (Allow) C:\users\germans\appdata\local\discord\app-1.0.9168\discord.exe => Нет файла
FirewallRules: [TCP Query User{7FE96200-91B7-4F43-B94C-E4F3157396B8}C:\users\germans\appdata\local\wemod\app-9.10.7\wemod.exe] => (Allow) C:\users\germans\appdata\local\wemod\app-9.10.7\wemod.exe => Нет файла
FirewallRules: [UDP Query User{CFAF4C6E-7598-4C9E-AA5A-3E7353FDF34E}C:\users\germans\appdata\local\wemod\app-9.10.7\wemod.exe] => (Allow) C:\users\germans\appdata\local\wemod\app-9.10.7\wemod.exe => Нет файла
FirewallRules: [TCP Query User{6706C730-DA8C-413B-A73D-5FE68BCF503C}C:\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) C:\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{9B784D47-E4E4-49CC-B354-A2E35B663209}C:\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) C:\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла
FirewallRules: [{E792906B-FE4F-4DBC-A4C7-6C010BA4581B}] => (Allow) C:\Users\GermanS\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{E4EE9D34-A0A0-4426-8E34-D70879B38239}] => (Allow) C:\Users\GermanS\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{6C436156-96B0-4939-88D0-5D76E047B74E}] => (Allow) C:\Windows\System32\mppr.exe => Нет файла
irewallRules: [{1AFE18F9-F74D-4862-A57B-A1DD8487C76B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла
FirewallRules: [{54A67D40-9B4A-466A-8908-AFD47CF5EE5F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив .RAR с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.
Деинсталлируйте программы Avast Update Helper и MediaGet, если нет возможности удалить стандартным способом - сделайте принудительно, с помощью [URL="https://geekuninstaller.com/ru/download"]Geek Uninstaller Free[/URL].